Nuevos Dispositivos, Viejas Amenazas

La palabra “wearable”  (del inglés: usable), hace sólo unos años atrás, era un adjetivo que se utilizaba para denominar a “algo que se utiliza como vestimenta”. Sin embargo, este término evolucionó

La palabra “wearable”  (del inglés: usable), hace sólo unos años atrás, era un adjetivo que se utilizaba para denominar a “algo que se utiliza como vestimenta”. Sin embargo, este término evolucionó y hoy hace referencia a una nueva tendencia en tecnología que consiste en una serie de dispositivos móviles que los usuario utiliza en su cuerpo (relojes, lentes, muñequeras, etc).

Uno de los principales responsables de que este tópico esté hoy en boca de millones de personas es Apple, que desde hace varios años, todos los meses de septiembre presenta un novedoso repertorio de dispositivos. Fiel a su tradición, el 9 de septiembre pasado la compañía de Cupertino, California, lanzó, entre otras cosas, el dispositivo wearable probablemente más esperado por el público, desde la presentación del Google Glass en 2013, el Apple Watch.

Obviamente, las reacciones de los usuarios fueron varias y de diferentes naturalezas. Mi colega Alex Savitsky resumió de manera precisa los tipos de opiniones que nos podemos encontrar en los medios masivos (mayormente, en redes sociales) cada vez que Apple lanza un nuevo producto. Sin embargo, a mí me gustaría ampliar un poco más estas categorías. A grandes rasgos, existen cuatro tipos de usuarios que opinan: aquellos que de manera soberbia y categórica se rehúsan a comprar cualquier producto de Apple; aquellos que hablan sardónicamente sobre cómo Apple ha decaído sistemáticamente desde el lanzamiento de la Mac Book Pro con retina display; Aquellos que comprarían cualquier producto de Apple, aunque fuera basura y que atacarían a cualquier persona que diga que ese producto es basura; y, finalmente, las personas que están interesadas en los productos innovadores y las funciones que éstos traen.

Al estar basado en Android, los lentes de Google pueden heredar ciertas vulnerabilidades ya conocidas en otros dispositivos de la misma plataforma.

Ahora bien. Existe un problema que, en general, siempre queda en un segundo plano: la seguridad. Los nuevos dispositivos, generalmente, son más vulnerables a las amenazas online que los dispositivos que ya llevan varios años en el mercado. Mucho peor. Usualmente los productos innovadores deben enfrentase a amenazas innovadoras. En este sentido, los dispositivos wearable como el Apple Watch o el Google Glass, que recopilan toda la información de los usuarios, son un blanco perfecto para los cibercriminales. Al respecto, Roberto Martínez, analista de seguridad del Global Research and Analysis Team (GReAT) de Kaspersky Lab, escribió un artículo en el que detalla los aspectos más oscuros y vulnerables del Google Glass.

“Los nuevos dispositivos tienen muchas cosas en común: utilizan los mismos protocolos y se interconectan con otros dispositivos por medio de las mismas aplicaciones. No hay mucho por hacer aquí. Los vectores tradicionales de los ataques Man-in-the-Middle suelen apuntar a las capas de la red para poder explotar las vulnerabilidades en el sistema operativo o en las aplicaciones instaladas en los dispositivos. Al estar basado en Android, los lentes de Google pueden heredar ciertas vulnerabilidades ya conocidas en otros dispositivos de la misma plataforma”, detalla Martínez.

Además, explica el especialista, existe un escenario de ataque demasiado simple de ejecutar, que fue inicialmente detectado por la compañía de seguridad Lookout: “Google Glass está configurado para conectarse a Internet cada vez que tiene que leer un código QR. En este escenario, Lookout descubrió que lo único que habría que hacer para comprometer el Glass de Google es crear un código QR y hacer que los lentes lo lean y ¡Listo! El dispositivo ya se conectó a una red inalámbrica controlada por un hacker. Este es un ejemplo típico en el que las viejas amenazas pueden actuar de manera muy efectiva contra los dispositivos nuevos.”

“Tanto las computadoras como los teléfonos  móviles, son un blanco más difícil de atacar que los dispositivos wearables. Esto es así, esencialmente, porque la interfaz del Google Glass está compuesta por ‘tarjetas’ a través de las cuales el usuario accede a las distintas aplicaciones y opciones. En este sentido, a los efectos de simplificar la navegación en el Glass, las opciones de configuración son mucho más limitadas que en un dispositivo tradicional. Esto se traduce en que, en la mayoría de las funciones, el usuario tiene muy poca o ninguna intervención. Un ejemplo claro de esto son las opciones de “red” o ‘data sharing'”, explica Martínez.

“La automatización y la simplicación terminan convirtiéndose en un puerta abierta para los ataques de los hackers que buscan comprometer la información privada de los usuarios”, agrega el especialista.

Por otra parte, durante sus investigaciones en el laboratorio, Martínez logró “engañar” al Google Glass para que éste se conecte a una red maliciosa, haciéndole creer al dispositivo que se estaba conectando a una red legítima. Según Martínez, esto podría tener graves consecuencias si los usuarios se conectan desde una red pública de wi-fi. Además, si bien mucha de la información que Martínez logró obtener del Google Glass estaba encriptada, una parte importante era almacenada en texto plano:

“Encontramos suficiente información en texto plano como para poder recopilar datos certeros sobre vuelos, reservas de hoteles, destinos turísticos e información geográfica que revelaba desde dónde el dispositivo se había conectado a Internet. Nada sensible, pero sí muy peligroso para las personas que pueden convertirse en blancos de asaltos o secuestros”.

Según Martinez, la seguridad en los dispositivos wearable debería encararse desde una estrategia de “capas”. Cada capa, según el especialista, debería contar con una estrategia de seguridad individual, con el objetivo de proteger la información de los usuarios.

En el caso del Google Glass, Martínez asegura que la capa de la seguridad de Red “está fallando” en su tarea, ya que al día de hoy el dispositivo puede conectarse a una red pública y no cuenta con ninguna opción de conexión segura VPN que impida que el tráfico de datos sea intervenido por terceros”, resumió Martínez.

“En los meses que vendrán, veremos miles de dispositivos wearable siendo el nuevo blanco de ataques cibernéticos. Por esta razón debemos comenzar a poner especial atención en el cuidado de estos dispositivos y la información que guardamos en ellos”, concluyó.

 

Traducido por: Guillermo Vidal Quinteiro

Consejos